Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zertifizierungsstellen und Active Directory

Frage Microsoft Windows Netzwerk

Mitglied: ahnungsl00ser

ahnungsl00ser (Level 1) - Jetzt verbinden

18.11.2004, aktualisiert 03.04.2007, 9085 Aufrufe, 5 Kommentare

Guten Morgen,

ich hab diesmal eine ganz selstame Frage:
Ich arbeite derzeit ein Projekt über VPN mit und ohne IPSec und allem möglichen Tralala aus.
Nun bin ich bei den Zertifikatsdiensten und den damit verbundenen Zertifizierungsstellen angelangt.
Für einige Zertifizierungsstellen ist Active Directory erforderlich, für andere wiederum nicht. Aber warum ist das so?
Warum braucht die "Organisation: Stammzertifizierungsstelle" AD und die "Eigenständig: Stammzertifizierungsstelle" nicht?
Ich komme einfach auf keinen vernünftigen Nenner um das ganze plausibel in die Dokumentation einzufügen.
Ich hoffe Ihr könnt mir da helfen...

Schönen Gruss,

Robert
Mitglied: Samtpfote
18.11.2004 um 10:03 Uhr
Bei der Stammzertifizierungsstelle Organisation werden die Zertifikate im Active Directory gepeichert.
Bitte warten ..
Mitglied: ahnungsl00ser
18.11.2004 um 10:36 Uhr
dankeschön !
Ich habe das ganze nun so formuliert
"Bei den beiden organisatorischen Zertifizierungsstellen werden die Zertifikate im AD gespeichert. Somit wird ein Backup gewährleistet, wenn zum Beispiel ein Server ausfällt und dieser sich bereits mit einem zweiten Server im Netz repliziert hat".
Bitte warten ..
Mitglied: Samtpfote
18.11.2004 um 11:10 Uhr
Du mußt aber aufpassen! Im Active Directory werden KEINE private Keys gespeichert; nur Zertifikate (das sind quasi die Beglaubigungen, daß ein Key einem, bestimmten User zugegordnet ist; ein Zertifikat ist nichts anderes als der durch die CA signierte öffentliche Schlüssel des Users)! Man kann eine Keyarchivierung in der CA aktivieren, eine Wiederherstellung ist aber nur durch einen (gesondert zu konfigurierenden) KeyRecovery Agent möglich. Grundsätzlich liegen die Private Keys nur im Zertifikatsspeicher des Computers/Users oder auf dessen Token (zB Smartcard); in einer Organisation würde ich auf jeden Fall eine Keyarchivierung vornehmen; da es zu gefährlich ist, wenn ein User Daten verschlüsselt und dann den Key zerstört.


Die Enterprise Zertifizierungsstelle kann nur Zerifikate an User und Computer innerhalb Deiner Domain ausgegeben werden; wenn Du etwa Zertifikate für den Zugriff externer Kunden an Dein Netz zB für IPSec ausgeben möchtest, muß das eine standalone Zertifizierungsstelle sein. (Die natürlich auch in einem Active Directory Environment laufen darf)

Enterprise CAs:
Best practice ist es außerdem, eine Enterprise Root Zertifizierungsstelle zu installieren, davon eine Subordinate Zertifizierungsstelle abhängig machen und dann die Root Zertifizierungsstelle OFFLINE zu nehmen. (aus Sicherheitsgründen, da der Private Key der Root Zertiifierungsstelle auf der Root Zertifizierungsstelle selbst gespeichert wird), Die subordinate CA stellt dann die Zertifikate aus.

Hope this helps
A.
Bitte warten ..
Mitglied: Zenon123
03.04.2007 um 15:18 Uhr
Ich arbeite jetzt auch an einem PKI-Projekt und hab auch einmal eine Frage zu dem Thema.

Um ein Autoenrollment der Zertifikate in der Active Directory zu gewährleisten benötigt man ja eine Enterprise CA.
Allerdings hab ich durch Recherche im Internet 2 verschiedene Aussagen gefunden:

1. Eine Enterprise CA lässt sich nur auf einem "Windows Server 2003 Enterprise Edition" einrichten

2. Eine Enterprise CA lässt sich sowohl auf einen "Windos Server 2003 Standard Edition" als auch einem "Windows Server 2003 Enterprise Edition" einrichten.

Kann mir jemand sagen welche dieser Aussagen stimmt?
Bitte warten ..
Mitglied: Samtpfote
03.04.2007 um 16:39 Uhr
Auch mit der Standardedition möglich!
Pfoti
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server
Mit Tastenkürzel im Active Directory navigieren?
gelöst Frage von Fish01Windows Server3 Kommentare

Hallo! Folgender Fall als Beispiel: Habe in einer OU ca. 100 User und möchte zB: bei jedem User kontrollieren, ...

Windows Server
Active Directory - Umlaute ersetzen
gelöst Frage von duschgasWindows Server5 Kommentare

Hallo liebe Community, Ich besitze ein AD, das historisch gewachsen ist. Unter anderem enthält es Umlaute wie Ä Ü ...

Windows Server
Erfahrungsberichte mit Azure Active Directory
Frage von SiliciumWindows Server4 Kommentare

Hallo Zusammen, wir ueberlegen, unsere Windows Domaene in die Cloud zu schieben. Ich habe da einige Bedenken, ausserdem habe ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 3 StundenLinux12 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux12 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Windows 10
Alle Programme mit bestimmtem Namen automatisch (per GPO) deinstallieren
gelöst Frage von lordofremixesWindows 1012 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, alle Programme beginnend mit z.B. "Dell" im Namen per Script und somit per ...